Une violation de données touchant McGraw Hill a révélé des informations liées à environ 13,5 millions de comptes utilisateurs suite à un incident cybernétique lié à une plateforme tierce.
L’entreprise a confirmé que l’accès non autorisé s’est produit via une page web hébergée sur la plateforme Salesforce, qui a été affectée par une mauvaise configuration. L’incident est décrit comme faisant partie d’un problème plus large touchant plusieurs organisations utilisant le même service.
Selon l’entreprise, la violation n’impliquait pas un accès direct à ses systèmes centraux, y compris les réseaux internes, les bases de données clients ou les plateformes d’apprentissage numérique. Il a également indiqué que les numéros de sécurité sociale, les informations de comptes financiers et les données générées par les étudiants n’étaient pas exposés.
La violation a été révélée après que le groupe menaçant ShinyHunters a inscrit McGraw Hill sur son site de fuite et affirmé avoir volé 45 millions de dossiers contenant des informations personnelles. Le groupe a lancé une demande de rançon et menacé de publier les données si le paiement n’était pas effectué.
Des données ensuite partagées via des services de suivi des violations indiquent que plus de 100 Go d’informations ont été diffusées, dont 13,5 millions d’adresses e-mail uniques. D’autres enregistrements peuvent contenir des noms, des adresses physiques et des numéros de téléphone, bien que ces champs n’aient pas été présents de manière cohérente dans toutes les entrées.
Les données exposées sont décrites comme des informations personnelles identifiables pouvant être utilisées dans des campagnes de phishing ciblées. La présence de coordonnées liées à des comptes utilisateurs augmente la probabilité de communications frauduleuses faisant référence à des services légitimes.
McGraw Hill a indiqué que la page web concernée avait été sécurisée après l’identification de l’activité et qu’elle collaborait avec Salesforce pour résoudre ce problème. L’entreprise a indiqué que l’incident était limité dans sa portée et ne résultait pas d’une compromission de son infrastructure interne.
L’écart entre la description par l’entreprise d’un jeu de données limité et l’affirmation de l’acteur malveillant concernant un volume plus important de dossiers n’a pas été résolu. Le nombre total de personnes concernées au-delà des adresses e-mail identifiées n’a pas été divulgué.
L’incident fait partie d’une série de violations liées à ShinyHunters, qui a ciblé des organisations en exploitant l’accès aux services cloud et aux plateformes tierces plutôt qu’en les infiltrant directement.